Форум → Программирование → PHP для идиотов → Уязвимости и mysql инъекции
Уязвимости и mysql инъекции
-
Апрель 11, 2009, 8:53 д.п., спустя 1 час 31 минуту 21 секунду
Professor, если парсер напишут специально для тебя, поможет только каптча) -
-
Апрель 11, 2009, 8:55 д.п., спустя 29 секунд
я бы сказал что поможет только отдавать весь сайт в картинке поможет …Сапожник без сапог -
Апрель 11, 2009, 9:23 д.п., спустя 27 минут 46 секунд
Есть какая нить капча которая еще не взломана? Или свою писать?
Какие советы по написанию не пробиваемой капчи дадите? -
Апрель 11, 2009, 11:11 д.п., спустя 1 час 48 минут 47 секунд
Отправка email с сайта
Для сокрытия адреса почтового ящика от спамеров часто используются форму обратной связи, информация из которой поступает серверному скрипту, который уже сам отправляет почту адресату по известному только скрипту адресу, к примеру, php-функцией mail.
Функция mail позволяет отправлять письмо, указывая ему дополнительные заголовки, в которых можно прописать, в частности, адрес отправителя. В самом деле, почему бы не спросить у отправителя его почтовый адрес, чтобы ему в случае чего сразу отправить ответ через "Reply".
Итак, ловим данные и передаем их в функцию mail (обратный адрес из формы в переменной $sender_email):
mail ($admin_email, 'Письмо с сайта', $message, "From: ".$sender_email);
В чем тут проблема: дело в том, что последний аргумент функции mail представляет собой разделенные символами перевода строки заголовки. Нам кажется, что заголовок один — "From". Но представим, что хакер написал в качестве обратного адреса такой набор символов:
[email protected]
Cc: [email protected]
Пусть вас не смущает, что данные введены в 2 строки, а в форме отправки для email было однострочное поле, не дающее писать текст в несколько строк. Как уже упоминалось во введении, все данные, поступающие снаружи, можно подделать. Так что данное письмо будет отправлено не только нам, но и на те email-адреса, который хакер укажет в "Cc:" или "Bcc:" (а он их там может указать сотню). И вот получите ситуацию — через нас рассылают спам.
Решение очевидно — запрещать отправку писем, если во введенном email-адресе используются символы перевода строки (\n и \r).
Мля не знал =) В скором времени надо будет рассылку кодить, вот и пригодилось =) -
Апрель 11, 2009, 3:52 п.п., спустя 4 часа 40 минут 42 секунды
На сколько такая капча уязвима по 10 бальной шкале (где 1 любой школьник взломает)
http://n-professor.ru/captcha.php
И на сколько читабельна?
Или полностью другой подход нужен? -
Апрель 11, 2009, 5:50 п.п., спустя 1 час 58 минут 15 секунд
Professor, скрипт заюзал чейтоСапожник без сапог -
Апрель 12, 2009, 2:32 д.п., спустя 8 часов 42 минуты 8 секунд
А что там юзать?
Картинка, на нее текст и все.
Я на captcha.ru почитал как взалымают капчи, и сделал растояние между буквами минимальное. и шриффт клевый взял =) -
Апрель 12, 2009, 4:24 д.п., спустя 1 час 51 минуту 58 секунд
Немного доделал капчу. Наверно такую и оставлю -
Апрель 12, 2009, 7:49 д.п., спустя 3 часа 24 минуты 57 секунд
Теперь вопрос как эту капчу выводить?
Создавать каждый раз картинку и сохранять ее на сервере или…
Или я не знаю как подругому =( -
-
-
Апрель 12, 2009, 10:05 д.п., спустя 1 час 26 минут 43 секунды
Как доделаю, в своюодное время статью напишу для пыхи. в F.A.Q. -
Апрель 12, 2009, 10:35 д.п., спустя 29 минут 37 секунд
Как доделаю, в своюодное время статью напишу для пыхи. в F.A.Q.
буду ждать с нетерпением :) -
Апрель 13, 2009, 8:40 п.п., спустя 1 день 10 часов 5 минут
Professor блог пишешь? скорей откравай, чуствую там уязвимостей будет))) похекаем тебя :D
Пожалуйста, авторизуйтесь, чтобы написать комментарий!